In den letzten Wochen haben Sie möglicherweise in der Zeitung von einer neuen IT-Sicherheitslücke namens «Shellshock» erfahren. Diese Sicherheitslücke betrifft eine Software, die in diversen Geräten verwendet wird – von Servern, die das Rückgrat des Internet bilden, bis hin zu iPhones. Unter den bisher je entdeckten Online-Sicherheitslücken wird diese als eine der Gravierendsten eingeschätzt, deutlich schwerwiegender als der «Heartbleed»-Bug, welcher IT-Sicherheitsexperten im April 2014 tief beunruhigte. Der Financial Times zufolge wurde das Ausnutzungspotenzial von Shellshock von der National Cyber Security Division des Department of Homeland Security (DHS) mit 10 auf einer Skala von 1 bis 10 eingestuft. Auch die möglichen Auswirkungen sowie der Schweregrad insgesamt wurden mit 10 von 10 veranschlagt – der höchstmöglichen Bewertung. Zum Vergleich: Heartbleed wurde insgesamt «nur» mit 5 eingestuft. Die Sicherheitslücke betrifft die sogenannte «Bash Shell», ein frei verfügbares Open-Source-Softwareprogramm, das in zahlreichen Unix- und Linux-Systemen breite Anwendung findet.
Was ist «Shellshock»?
Das betroffene Programm wurde 1987, lange vor dem wirtschaftlichen Durchbruch des Internet, von Brian J. Fox geschrieben, damals noch ein junger Programmierer. Heute wird diese Software in über 70 % der mit dem Internet vernetzten Geräte verwendet, darunter Server, Computer, Router, Mobiltelefone und sogar Geräte wie Kameras und Kühlschränke. Am 24. September 2014 sprachen IT-Sicherheitsexperten die Warnung aus, dass Bash einen besonders besorgniserregenden Softwarefehler namens «Shellshock» enthielt: Ein Teil des Programms könnte dazu genutzt werden, die weltweite Kontrolle über Millionen von Geräten zu erlangen, möglicherweise auch über PCs oder Smartphones. Unglücklicherweise ist das fehlerhafte Programm weit verbreitet. Viele Internetdienste wie Webserver nutzen Bash, um bestimmte Anfragen zu verarbeiten. Ein Angreifer könnte anfällige Versionen von Bash dazu veranlassen, beliebige Befehle auszuführen. Somit könnte der Angreifer die Sicherheitslücke ausnutzen, um sich unbefugt Zugang zu einem Computersystem zu verschaffen. Der Fall Shellshock legt Vergleiche mit dem Heartbleed-Bug nahe, der im letzten Frühjahr in einer wichtigen Softwarekomponente entdeckt wurde. Shellshock hat jedoch das Potenzial, zu einer noch grösseren Bedrohung zu werden: Während Heartbleed ausgenutzt werden konnte, um zum Beispiel Passwörter auf einem Server auszuspähen, könnte mit Shellshock die Kontrolle über das gesamte System übernommen werden – auch ohne Benutzername und Passwort. Heartbleed blieb zwei Jahrelang von IT-Sicherheitsexperten unbemerkt und betraf schätzungsweise 500'000 Geräte, Shellshock hingegen wurde erst nach über 22 Jahren entdeckt. Weniger als 24 Stunden nach der Aufdeckung von Shellshock begannen Hacker bereits mit entsprechenden Botnet-Angriffen.
Wie gefährlich ist Shellshock?
Laut einer aktuellen Analyse des MIT Technology Review ist Shellshock wahrscheinlich dergefährlichste und älteste bekannte und nicht behobene Softwarefehler, der jemals gefunden wurde. Das Softwareprogramm Bash ist Standard auf allen Linux-Betriebssystemen und auf Mac OS X vonApple. Es wird auch von einfachen, mit dem Internet vernetzten Geräten genutzt, die als Betriebssystem häufig eine Variante von Linux verwenden. Daher gehen Sicherheitsexperten davon aus, dass Shellshock das Potenzial hat, nicht nur Servers zu gefährden, sondern auch bestimmte privatgenutzte Router, IP-Kameras und andere Geräte. Darüber hinaus gibt Shellshock den Hackern die Möglichkeit, aus der Ferne beliebigen Codes auf einem System auszuführen. Diese könnte dazu genutzt werden, einen selbstreplizierenden «Wurm» zu schaffen. Dadurch könnte ein geschädigtes System andere Computer angreifen, was aufgrund der Vernetzung eine rasche Vervielfältigung zur Folge hätte und würde Tausende von Systemen infiltrieren. Die sogenannte DHCP-Software beispielsweise, die zur Herstellung von Verbindungen mit einem WLAN-Netzwerk verwendet wird, kann Befehle an Bash übergeben und einen Computer mit einem anfälligen Betriebssystem bei der Verbindung zu einem WLAN-Netzwerk unter Umständen einem Angriff aussetzen. Dadurch könnte ein System mit einem anfälligen Betriebssystem bei der Verbindung zu einem nicht vertrauenswürdigen WLAN zum Angriffsziel werden. Zudem erfordert die Nutzung der Schwachstelle Shellshock keine umfassende Programmierkenntnisse. Laut Greenberg(2014) ist ein darauf basierender Angriff so einfach, dass selbst ungeübte Hacker vorhandene Codefragmente zusammenstellen können, um sich die Kontrolle über Zielgeräte zu verschaffen. Unseres Erachtens werfen die Vorfälle in Zusammenhang mit Heartbleed und Shellshock ein Schlaglicht auf ein Problem, das in Zukunft erneut auftreten könnte. Das heutige Internet beruht auf Softwareprogrammen, deren Ursprünge Jahrzehnte zurückliegen. Einige von ihnen wurden nie auf potenzielle Sicherheitslücken überprüft. Wie vorhin erwähnt, geht der Softwarecode von Bash auf die späten 1980er-Jahre zurück. Der Gedanke, ihn auf seine Anfälligkeit für Internetangriffe zu prüfen, lag zum damaligen Zeitpunkt vollkommen fern. «Dass es sich um eine der am häufigsten genutzten Softwarekomponenten der Welt handelt und zum Angriffsziel werden könnte, war schlichtweg undenkbar», meint Brian Fox. «Zu dem Zeitpunkt, als dies denkbar wurde, war das Programm bereits seit 15 Jahren im Einsatz.» Heute wird das Programm Bash von allen grossen Internetfirmen verwendet – darunter Google und Facebook –, weil es sich bei dem Code um Open-Source-Software handelt.
Rückläufige Budgets für IT-Sicherheit?
Ungeachtet der Verbreitung von Sicherheitslücken im Internet und in Computercodes sowie der steigenden Zahl von Zwischenfällen im Bereich Datensicherheit ist erstaunlicherweise festzuhalten, dass sich die Budgets für IT-Sicherheit in zahlreichen Unternehmen rückläufig entwickeln. Selbst angesichts der jüngsten Angriffe auf Target, Home Depot und JP Morgan, die für starkes öffentliches Interesse gesorgt hatten, sind die IT-Sicherheitsbudgets weltweit laut einer Umfrage von PwC unter annähernd 10’000 Führungskräften und IT-Leitern gegenüber 2013 um 4 % zurückgegangen. Dieses Ergebnis überrascht, ist doch die Zahl der Angriffe um 48 % gestiegen, wobei sich die durchschnittlichen Kosten für die Bewältigung von Sicherheitsvorfällen und die Schadensbehebung auf USD 2,7 Mio. je Vorfall belaufen – ein Drittel mehr als im Jahr 2013. Während die Ausgaben von mittelgrossen und grossen Unternehmen um 5 % anstiegen, gingen die Sicherheitsbudgets von Firmen mit Umsätzen von unter USD 100 Mio. im Durchschnitt um 20 % zurück. David Burg von PwC warnt, dass Grossunternehmen von Prozessen bei kleineren Anbietern und Zulieferern abhängig sind. So drangen Hacker beispielsweise beim Angriff auf den Einzelhandelskonzern Target in das Computernetzwerk des Unternehmens ein, indem sie einen Zugang nutzten, der für einen Zulieferer von Kühl- und Klimaanlagen eingerichtet worden war. «Viele kleine und mittlere Unternehmen sind selbst mit grösseren Unternehmen verbunden. Die Realität ist: Das System ist in seiner Gesamtheit nicht sicherer, nur weil grosse Unternehmen mehr ausgeben», so Burg. «Es gibt keine völlig autarken Unternehmen.» Unseres Erachtens ist diese Studie von PwC verwirrend. Im Gegensatz dazu geht Gartner davon aus, dass die Ausgaben für IT-Sicherheit für 2014 um 7,9 % auf USD 71,1 Mia. und für 2015 um weitere 8,2 % auf USD 76,9 Mia. ansteigen werden.
Fazit
Die genannten Entwicklungen zeigen, dass wir uns noch in der Frühphase des Anlagethemas «Cybersicherheit» befinden. Zudem vertreten wir die Auffassung, dass die jüngst zu verzeichnende Marktkorrektur einiger führender IT-Sicherheitsunternehmen eine langfristige Kaufgelegenheit darstellt. Unserer Meinung nach ist dieses Anlagethema für langfristig orientierte Anleger sehr reizvoll und steht erst am Anfang eines attraktiven langanhaltenden Wachstumszyklus. Wir gehen daher davon aus, dass die Investitionen in IT-Sicherheitsprodukte durch die öffentliche Hand sowie durch Unternehmen und Privatkunden künftig ansteigen werden. Aus diesem Grund halten wir Beteiligungen an Unternehmen, die auf dem Gebiet innovativer IT-Sicherheitslösungen für Datenschutz, Netzwerksicherheit, Schwachstellenmanagement und Datenspeicherung führend sind.
Patrick Kolb, Portfolio Manager, Credit Suisse Equity Fund (Lux) Global Security
